Metasploit Adds Exploit Module for Recently Disclosed FortiWeb 0-Day Vulnerabilities
2025/11/22 CyberSecurityNews — Fortinet の FortiWeb に存在する深刻な脆弱性を標的とする新たなエクスプロイト・モジュールが、Metasploit Framework に導入された。このモジュールは、先日に公開された2つの脆弱性 CVE-2025-64446/CVE-2025-58034 を連鎖させ、未認証のユーザーによる root 権限でのリモート・コード実行 (RCE) を可能にするものだ。このリリースは、Fortinet からのサイレント・パッチと、その後に発生したバイパスにより、数多くの WAF アプライアンスが無防備な状態になっている状況や、実環境での悪用の報告などに対応するものである。
エクスプロイト・チェーン
新たなモジュール “exploit/linux/http/fortinet_fortiweb_rce” は、認証メカニズムをバイパスした後に任意の OS コマンドを実行する高度な攻撃チェーンを自動化する。
このエクスプロイト・チェーンは、CVSS スコア 9.1 と評価される深刻な認証バイパス脆弱性 CVE-2025-64446 への攻撃から始まる。watchTowr の研究者の分析によると、この脆弱性はパス・トラバーサルの問題と CGIINFO ヘッダーの不適切な処理が組み合わされることで発生する。
このヘッダーを操作する未認証の攻撃者は、fwbcgi 実行ファイルにアクセスすることで、ビルトイン管理者ユーザーを装い、有効な認証情報を持たない状態で新しい管理者アカウントを作成できる。
この手法により管理者アクセスが確立されると、脆弱性 CVE-2025-58034 を悪用して基盤システムを侵害するステップに移行する。この2つ目の脆弱性は、FortiWeb API/CLI に存在する認証済みコマンド・インジェクションの欠陥であり、OS コマンド内の特殊要素が適切に無効化されていないことに起因する。
Rapid7 の分析によると、この問題により悪意の認証済みユーザーは意図されたシェル制限を回避し、root ユーザーとしてコマンドを実行できる。これらの2つの脆弱性を連鎖させることで、Metasploit モジュールは外部の未認証の攻撃者に対して、数秒でシステムを完全に制御する権限を与える。
Metasploit モジュール
この Metasploit モジュールは、さまざまな攻撃シナリオに対応できる柔軟性を備えている。デフォルト・モードでは、認証バイパスの脆弱性 CVE-2025-64446 を自動的に悪用し、ランダムな管理者アカウントをプロビジョニングする。
その後に、この新しい認証情報で認証を行い、コマンド・インジェクションを実行する。また、攻撃者が既に有効な認証情報を保持している場合には、バイパス・フェーズをスキップして脆弱性 CVE-2025-58034 を直接悪用するようモジュールを設定できる。
技術的な詳細を説明すると、このエクスプロイトは、チャンク・アップロード・メカニズムを用いてペイロードを配信する。プル・リクエストのドキュメントに記載されているように、このモジュールは、ブートストラップ・ペイロードを複数のパート (例:4つのチャンク) に分割してアップロードし、それらを結合して実行する。
この手法により、アプライアンスの制約された環境内でも確実な実行が保証される。このエクスプロイトが成功すると、uid=0 (root) のシェルが取得され、攻撃者は WAF デバイスを完全に制御できるようになる。
すでに Fortinet は、これらの脆弱性に対処するパッチを公開している。したがって、ユーザーに対して強く推奨されるのは、FortiWeb バージョン 8.0.2 以降へ直ちにアップグレードすることである。
脆弱性 CVE-2025-64446 を悪用する攻撃者は、不正な管理者アカウントを非公開で作成できるため、侵害の可能性があるデバイスにおいてはパッチ適用だけでは不十分である。セキュリティ・チームは、ユーザー・リストで不明なアカウントの有無を監査し、信頼できない IP アドレスから “/api/v2.0/cmdb/system/admin” へのリクエストが残されていないことをログで確認すべきである。
| CVE ID | Vulnerability Type | CVSS | Affected Products (Partial List) |
|---|---|---|---|
| CVE-2025-64446 | Auth Bypass / Path Traversal | 9.1 | FortiWeb 7.4.0-7.4.4, 7.6.0-7.6.4, 8.0.0-8.0.1 |
| CVE-2025-58034 | OS Command Injection | 7.2 | FortiWeb 8.0.0-8.0.1 |
この FortiWeb のケースでは、2つの脆弱性の組み合わせが危険な状況を生み出しています。1つ目は、CGIINFO ヘッダー処理とパス・トラバーサルの問題により、未認証の攻撃者が管理者アカウントを作れてしまう点が大きな穴になっています。さらに、その偽管理者権限を使ってコマンド・インジェクションを行い、root 権限のシェルまで取れてしまう設計になっているため、一度突破されると WAF 全体が乗っ取られてしまいます。単体でも危険な脆弱性が、連鎖することで破壊力が一気に増していると、この記事は指摘しています。よろしければ、2025/11/19 の「CISA KEV 警告 25/11/18:FortiWeb OS の脆弱性 CVE-2025-58034 を登録」も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.